身份提供者和授权端点与授权服务器位于同一服务器中:“auth-server”。
每个资源服务器中都有多个资源提供者:“res-server1,res-server2,....”
首先,从“auth-server”请求id_token,并将id_token存储在客户端浏览器的会话存储中。这只是RFC 6749中定义的“授权代码流”
来自auth-server的访问令牌只能由auth-server使用,但不能由其他res-server使用。
其次,通过“id_token”从“res-server”请求“res access token”。
第三,使用“res access token”请求“res api”。
或者只使用“id_token”作为访问令牌。
我想知道在客户端浏览器的会话存储中存储id_token存在任何安全风险,以及如何防止它。
最大的问题是它在客户端,无论你做什么,它总是保持不安全。建议有一个中间服务器端层,用于跟踪特定客户端的ID令牌。